Qu'est-ce que DMARC, pourquoi est-ce important et comment le mettre en place?
QU'EST-CE QUE C'EST ET POURQUOI EST-IL IMPORTANT?
Qu'est-ce qu'une politique de spoofing (DMARC)?
DMARC signifie "Domain-based Message Authentication, Reporting and Conformance". Il s'agit d'un système de validation d’email conçu pour protéger le domaine de messagerie de votre entreprise contre l'usurpation d'adresse électronique, les escroqueries par hameçonnage et autres cybercrimes.
Vous pouvez en savoir un peu plus à ce sujet sur notre blog ici : https://www.kynd.io/it-wouldnt-happen-to-us-famous-last-words/ (texte en anglais)
QUOI FAIRE & COMMENT
Comment configurer le SPF et DMARC pour un domaine d'envoi?
Commencer par créer une déclaration, appelée enregistrement SPF (Sender Policy Framework), spécifiant toute l'infrastructure qui envoie des e-mails en votre nom.
Publier l'enregistrement SPF dans une politique connue sous le nom de DMARC (Domain Message Authentication Reporting and Conformance).
Commencer par utiliser votre DMARC pour surveiller les courriels envoyés en votre nom. Si vous êtes arrivés à ce point, bravo! Vous êtes maintenant au courant de toute tentative de spoofing de votre organisation.
Sur la base de ces rapports, au fil du temps, vous pourrez faire progresser lentement votre politique DMARC pour d’abord avertir les destinataires des e-mails illégitimes, avant de continuer à empêcher la réception de ces e-mails! De nombreuses organisations peuvent être en train de comprendre et de surveiller leurs courriels avec des paramètres minimaux, ce qui explique pourquoi ils sont actuellement usurpables. Elles seront informées de toute tentative d'usurpation et, avec le temps, pourront affiner leurs paramètres pour devenir de plus en plus résistantes.
Il est recommandé de mettre en place une politique de DMARC de manière progressive et par étapes :
-
Phase 1: Mettre en place une politique DMARC de «none» (aucun);
-
Phase 2: Passer à une politique DMARC de «quarantine» (quarantaine);
-
Phase 3: Passer à une politique DMARC de «reject» (rejeter).
Dans la phase 1, vous mettez à jour votre enregistrement DNS TXT sur _dmarc.example.com
Cela devrait ressembler à ceci: v = DMARC1; p = aucun; street = mailto: utilisateur@example.com
La partie “p=none” de l'enregistrement ci-dessus signifie qu'aucun de vos e-mails sortants ne sera affecté dans cette phase, la partie rua spécifie une adresse e-mail pour que vous puissiez agréger les rapports pour tous vos e-mails sortants, y compris s'ils ont réussi ou échoué au contrôle d'authentification du SPF.
Pour l'adresse rua, vous voulez probablement utiliser une boîte de réception générique (par exemple emails@example.com ou dmarc@example.com).
La phase 1 est essentiellement une phase de surveillance, aucun de vos e-mails sortants ne sera affecté, mais vous collecterez des rapports sur tous les e-mails sortants (à la fois, les e-mails internes et marketing légitimes - mais aussi à partir de sources qui usurpent votre domaine).
D'autres conseils utiles peuvent être trouvés dans ce guide du centre national de cybersécurité du Royaume-Uni: https://www.ncsc.gov.uk/collection/email-security-and-anti-spoofing/implement-a-dmarc-policy-of-none
Comment configurer le SPF et le DMARC pour un domaine NON ENVOYANT?
Les nouveaux domaines enregistrés pour votre organisation peuvent être une cible clé pour les cybercriminels, qui peuvent utiliser les nouveaux domaines pour envoyer des courriels frauduleux ou comme opportunités d'attaques.
Lors de l'enregistrement de domaines supplémentaires qui ne sont pas utilisés pour l’email, colle ce SPF en tant qu'enregistrement DNS txt sur chaque domaine:
v=spf1 -all
Et colle ce DMARC en tant qu'enregistrement DNS txt sur _dmarc.example.com pour chaque domaine:
v=DMARC1 p=reject rua=mailto:user@example.com
D’autres conseils utiles peuvent être trouvés dans ce guide du centre national de cybersécurité du Royaume-Uni: https://www.ncsc.gov.uk/blog-post/protecting-parked-domains
Cliquez ici pour parcourir d'autres articles ou contactez-nous en utilisant une icône de chat à droite!